Режим shadow непривилегированного пользователя в windows server

Проблема с которой столкнется администратор сервера под управлением windows 2012/2016 — невозможно средствами GUI предоставить непривилегированному пользователю подключение к терминальной сессии других пользователей (режим shadow). Только лишь администратор может использовать этот режим через Server Manager

Для исправления ситуации администратор должен выполнить несколько простых действий:

На сервере АД домена DOMAIN нужно создать группу, в данном случае RDP-ADMIN-SERVER. В эту группу добавляем тех пользователей, которым нужен режим shadow. В командной строке выполняем следующую команду:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "DOMAIN\RDP-ADMIN-SERVER",2

если ответ ReturnValue = 0; то перегружаем сервер

Теперь непривилегерованый пользователь выполнив следующую команду в командной строке получает список подключенных к терминалу пользователей

query session

режим shadow

и запускает режим shadow, например к пользователю с ID 5 без подтверждения со стороны пользователя

mstsc /shadow:5 /control /noconsentprompt

Для облегчения подключения предлагается следующий bat-файл

@echo off
mode con:cols=100 lines=30
query session
echo
set /p usersession= Enter the session ID: 
mstsc /shadow:%usersession% /control /noconsentprompt
Александр Черных

системный администратор

Статьи по теме